Esta es una amenaza a la seguridad que no puede combatir con tecnología
Se prevé que aumenten las amenazas de Ingeniería social. ¿Qué es Ingeniería social? Si lo está preguntando, es hora de reforzar su seguridad de TI.
Ha aparecido una nueva e insidiosa amenaza a la seguridad de TI que los firewalls, contraseñas y tokens de seguridad no pueden detener. Esa amenaza es la Ingeniería social: un tipo de fraude en que personas malintencionadas obtienen acceso a información o al sistema de computación usando artimañas para engañar a un individuo. En el universo de seguridad empresarial, son sus empleados y no la tecnología que representan la mayor vulnerabilidad a la Ingeniería social.
Un informe reciente acerca de la amenaza de la Ingeniería social a la seguridad de la información indica que el 48% de las empresas ya han sufrido ataques de Ingeniería social. El mismo informe, presentado por Dimensional Research, muestra que 34% de los entrevistados actualmente no conciencian a sus empleados acerca de esos peligros. Tener un ingeniero social de buena fe de su lado parece ideal, pero no siempre es posible. Lo mejor es pensar como los defraudadores y mantener a sus empleados (generalmente el eslabón débil) bien informados.
¿Qué vino primero, el pirata informático (hacker) o la necesidad de detenerlo? En el caso de la ingeniería social, no es un pregunta como la del huevo y la gallina. Aquí, la relación de causalidad es clara. Y si consigue pensar como un ingeniero social, considérelo una ventaja para la seguridad de su trabajo.
¿Se puede combatir fuego con fuego?
Según el famoso ex-hacker Gregory Evans, los gerentes de TI no son suficientemente hábiles en lo que se refiere a seguridad. Confiar solamente en el equipo de TI para impedir que los hackers accedan a sus datos es lo mismo que contar solo con la infantería, dice Evans. Él piensa que se necesita seguridad equivalente a los comandos «SEAL» de la Marina de los Estados Unidos, que son conocidos por su capacidad extraordinaria en operaciones de guerra.
Algunos dicen que es como contratar un incendiario para apagar incendios. Pero en la seguridad de la empresas, ¿es peligroso confiar en aquellos que saben cómo engañar? Puede ser.
Los profesionales de TI convencionales siguen todas las reglas. Estudian, aprenden y pasan las pruebas. Por otro lado, los hackers y los ingenieros sociales hacen de todo, menos seguir las reglas. Según Evans, puede planificar todo lo que desee en un entorno controlado, pero al final se enfrentará con el caos.
Corre peligro, le guste o no
El pasado mes de agosto en DefCon, la conferencia de hackers más grande del mundo, se demostró que las grandes empresas no solo son vulnerables, como también son presas fáciles. De hecho, los asistentes de la conferencia que participaron de un juego de hacking, encontraron que la tarea era tan fácil como atender el teléfono. En un caso, hacerse pasar por un administrador de TI que necesitaba información fue suficiente para que un empleado la proporcionase.
Sucede que, como siempre hubo personas que se dejan engañar, siempre habrán estrategias de ingeniería social para hacerlo. Algunos “vendieron” la torre Eiffel y el puente de Brooklyn. Otros limpiaron cuentas bancarias con intrincados esquemas de pirámides. Es chocante, pero los defraudadores siempre encuentran personas que caen en sus cuentos. Por eso, cuando un empleado nuevo reciba una llamada de alguien que dice ser de la TI, asegúrese de que conozca el protocolo.
Sus empleados son el mayor peligro
Los empleados sin capacitación suficiente son un gran riesgo, pero si se les informa sobre los peligros, puede mantener todo bajo control. Saber que los ingenieros sociales buscan los eslabones débiles de su empresa lo ayuda a prevenirse. Según Network World, cada empleado es un posible blanco de ataque. 80% de los defraudados no son empleados de alta jerarquía con acceso a datos confidenciales, sino los empleados comunes.
Es extremadamente difícil permanecer en el anonimato en la actualidad. A final de cuentas, hay una increíble cantidad de información disponible en los sitios de medios sociales. Los ingenieros sociales conocen bien el valor de la información. No solo está disponible gratuitamente; con frecuencia es muy útil para completar los ataques.
Los servicios de profesionales de TI que comprenden esos riesgos y pueden proporcionar capacitación a los empleados que representan una gran amenaza a la seguridad de una empresa tienen gran demanda hoy en día. Presentamos aquí las 5 mejores prácticas que todos los profesionales de TI deberían compartir con los empleados:
- Proporcione información a los empleados; manténgalos al tanto para que tengan conciencia de su posición
- Sugiera el uso de configuración de privacidad más rigurosa en sitios de medios sociales que proporcionan información profesional
- Limite el uso del correo electrónico de la empresa para uso personal
- Mantenga una política de seguridad para toda la empresa que describa el comportamiento esperado y las mejores prácticas
- Mantenga un flujo de información continuo
Sea un héroe de la seguridad
El objetivo es proteger a la empresa y los datos contra los ingenieros sociales; si lo hace, lo considerarán insustituible. Recuerde que los puntos clave son:
- Tenga conciencia de que la amenaza está al acecho (los ingenieros sociales siempre están esperando que alguien baje la guardia)
- Aprenda a pensar como el enemigo (esto significa que debe mantenerse informado)
- Y posiblemente el punto más importante, sepa cómo preparar a sus empleados (ellos son su primera línea de defensa)
Si no puede implementar un nivel de seguridad comparable a los SEAL de la marina estadounidense, tenga una infantería más fuerte y preparada.
¿Cómo planea reducir las amenazas de la ingeniería social a su empresa?
Fuente: HP Technology at Work